IAST(Interactive Application Security Testing)를 통해 보안을 SDLC(Software Development Life Cycle)에 원활하게 통합합니다. 이 기술은 라이브 애플리케이션과 API를 적극적으로 모니터링하여 취약성을 신속하게 탐지하고 해결합니다. IAST는 애플리케이션 소스 코드에 대한 통찰력을 보유하고 있어 문제 식별의 정확성과 깊이를 향상합니다.
IAST는 기능 테스트 또는 QA 활동 안에서 자율적으로 작동합니다. 또는 DevOps 및 보안 팀과 협력하여 스캔 결과를 DAST 및 SAST 스캔 결과와 지능적으로 연관시킵니다. 이를 통해 문제를 효율적으로 그룹화하고 신속하게 조치방안을 적용할 수 있습니다.
API 검색
API 검색
HCL AppScan IAST는 애플리케이션에서 사용되는 모든 내부 API를 자동으로 감지하고 목록화할 수 있습니다. API를 개발하는 데 사용된 오픈소스 패키지의 SCA 스캔에서 추가 정보를 수집할 수 있습니다. 이러한 결과는 보안 위험 수준을 이해하고 해당 이해관계자에게 보고하는 데 매우 중요합니다.
자동 이슈 상관관계
자동 이슈 상관관계
HCL AppScan 자동 이슈 상관관계는 각 IAST, DAST 및 SAST 문제에서 데이터를 추출한 다음 다양한 휴리스틱을 사용하여 상관 관계를 식별합니다. 이를 통해 문제를 신속하고 완벽하게 해결할 수 있는 위치로 그룹화하여 취약성과 필요한 조치방안의 전체 수를 효과적으로 줄입니다.
- 소스 코드를 볼 수 있는 해당 IAST 및 SAST 검사에서 발견된 세부 정보로 DAST 결과를 보강할 수 있습니다.
- SAST 결과는 해당 IAST 및 DAST 결과의 정확도를 활용하여 조치방안의 우선순위를 정할 수 있습니다.
- SAST 수정 사항은 모든 관련 결과에 대한 상태 업데이트를 제공하는 후속 IAST 및 DAST 검사로 검증할 수 있습니다.
특허받은 Java 솔루션
특허받은 Java 솔루션
당사의 특허받은 Java 배포 솔루션은 IAST를 Java 에이전트와 웹 애플리케이션으로 배포할 수 있으므로 구성이 덜 필요하고 설정 시간도 덜 걸립니다. 스캐닝을 더 빨리 시작하고, 웹 서버가 시작된 후 IAST를 배포하며, 서버를 다시 시작하지 않고도 IAST 에이전트를 제거할 수 있습니다. 또한 당사의 에이전트는 업데이트 버전이 있는지 자체적으로 탐지하고, 다운로드하여 자동으로 업그레이드합니다(ASoC만 해당).
특허받은. NET 솔루션
특허받은. NET 솔루션
당사의 특허받은 .NET용 IAST 배포 솔루션은 시장에서 가장 빠르며 네이티브 코드가 아닌 관리형 코드로 실행됩니다. 기본 .NET 최적화를 비활성화할 필요가 없으며 당사의 IAST 에이전트가 .NET 코드 자체의 일부로 실행되므로 더 많은 기능을 이용하고 더 많은 문제 유형을 발견할 수 있습니다.
거짓 긍정 제거
거짓 긍정 제거
HCL Appscan IAST는 또한 애플리케이션을 통해 전송되는 정보를 추적하는 고급 알고리즘에 관한 특허를 취득했습니다. 취약성이 탐지되면 자동으로 추가 검사를 수행하여 최종 보고서에서 거짓 긍정을 크게 줄입니다.
이러한 검사에는 실시간으로 코드 흐름을 복제하고 다양한 방식으로 공격을 시도하는 복잡한 알고리즘이 포함됩니다. 직접 작성한 작동하는 데이터 정화 코드가 있을 경우, HCL AppScan IAST는 이를 감지하고 해당 코드를 통과하는 문제를 보고하지 않습니다.
추천 자료
HCL AppScan 및 자동 상관관계를 통한 수정 우선순위 지정
